You Might Not Know You Are Still Using SSLv2.0

၁၉၉၄ ခုနှစ်မှာ Secure Sockets Layer (SSL) Protocol ဆိုတာကို Netscape Communications က တီထွင်ခဲ့ပါတယ်။
အဲဒီအချိန်တည်းက SSL ဆိုတာ နေရာယူလာခဲ့တာ နှစ်ပေါင်းအတော်ကြာပါပဲ။
နှစ်တွေကြာလာတာနဲ့အမျှ Protocol က ပြောင်းလဲ လာလိုက်တာ SSLv2.0 -> SSLv3.0 -> TLSv1.0 -> TLSv1.1 -> TLSv1.2 တွေအထိဖြစ်လာပါပြီ။
ဒီလိုပြောင်းလာပေမယ့် ခုထိ SSLv2.0 ကို အသုံးများနေကြတာကို တွေ့နေရတုန်းပါ။
ဒီဖက်ခေတ်မှာ SSLv2.0 ဟာ လုံလောက်တဲ့ လုံခြုံရေး စနစ်တခုမဟုတ်တော့ပါဘူး။ သူ့မှာ အောက်မှာ ပြောထားတဲ့ အားနည်းချက်တွေရှိပါတယ်။

  •           Client – Server Message Authentication အတွက် MD5 ဆိုတာကိုသုံးပါတယ်။ MD5 ဟာ မလုံခြုံတော့ပါဘူး။
  •           Connection စဖို့ Handshake Message တွေပို့တဲ့အခါ Protection မလုပ်ပါဘူး။ ဒီအချက်ကပဲ attacker တွေဟာ man-in-the-middle attack ကိုသုံးပြီး client တွေကို အားနည်းတဲ့ cipher suite ကို ရွေးစေခြင်းဖြင့် အချက်အလက်လုံခြုံရေးကို ခြိမ်းခြောက်လာစေပါတယ်။
  •           Message Integrity, Message Encryption တွေအတွက် တူညီတဲ့ Key တွေကို အသုံးပြုပါတယ်။ ဒီအချက်ဟာလည်းပဲ အားနည်းတဲ့ Encryption Algorithm ကို Negotiatation အတွက်သုံးတဲ့ Client – Server တွေရဲ့ အချက်အလက် လုံခြုံရေးကို ခြိမ်းခြောက်လာစေပါတယ်။
  •           Client – Server တွေရဲ့ Session တွေကို လွယ်လွယ်ကူကူပဲ Terminate လုပ်နိုင်ပါတယ်။ ဒီအချက်ကတော့ man-in-the-middle attacker အနေနဲ့ TCP FIN packet တခုထည့်ပြီး session ကို Terminate လုပ်လိုက်နိုင်ပါတယ်။ အဲဒီလိုလုပ်လိုက်တာကို Client – Server တွေအနေနဲ့ ပုံမှန် Session Terminate ဟုတ်တယ် မဟုတ်ဘူး ဆိုတာ မခွဲခြားနိုင်တာက ပြဿနာပါ။

SSLv2.0 ပေါ်လာတာ နှစ် ၂၀ ကျော်ကြာခဲ့ပါပြီ။ သူ့ရဲ့ အားနည်းချက်တွေကိုလဲ RFC 6176 နဲ့ လွန်ခဲ့တဲ့ ၅ နှစ်ကျော်ကတည်းက ထောက်ပြပြီးပါပြီ။ ဒါပေမယ့် ဒီအားနည်းချက်ရှိတဲ့ SSLv2.0 ကို လူတော်တော်များများ အသုံးပြုနေကြပါသေးတယ်။

ပြီးခဲ့တဲ့ ဇွန်လ ( ဇွန် ၊ ၂၀၁၆) မှာ ၂% ထက်နည်းတဲ့ SSLv2.0 Server Hello message တွေကို Firewall တွေမှာ လက်ခံရရှိနေသေးပြီး ၄၀% ထက်များတဲ့ SSLv2.0 Client Hello message တွေကိုလည်း Firewall တွေမှာ လက်ခံရရှိနေပါသေးတယ်တဲ့။

အပေါ်မှာပြောခဲ့သလိုပဲ SSLv2.0 ဟာ လုံခြုံရေး အားနည်းချက်တွေ ရှိနေပြီဖြစ်တဲ့အတွက် သင့်ရဲ့ System တွေအတွက် အန္တရာယ်နေပါပြီ။ ဒီအတွက် Client/Server Software Setting တွေကို ပြန်လည်စစ်ဆေးဖို့လိုအပ်နေပြီး၊ SSLv2.0 အသုံးပြုနေခြင်းကိုလဲ ရပ်ပြီး TLS1.2 ကိုသုံးသင့်ကြောင်း အသိပေးလိုက်ရပါတယ်။

Source : Dell SonicWall Security Center

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)